ETRI-Knowledge Sharing Plaform

KOREAN
기술이전 검색
Year ~ Transaction Count Keyword

Detail

TeeMo: Technology of Secure Execution Engine based on Virtualization v4.0

Manager
Lim Jae Deok
Participants
Kim Geon Lyang, Young Ho Kim, Kim Jeong Nyeo, Su Wan Park, Park Jong-Yeon, Lee Yun-Kyung, Lim Kyung Soo, Lim Jae Deok, Jeon Yong-Sung, Cho Hyun Sook, Ju Hong Il
Transaction Count
3
Year
2013
Project Code
13PI2200, Development of Immersive SmartWork Tech. for Collaboration, Do Young Kim
12PI1100, Development of Immersive SmartWork Tech. for Collaboration, Do Young Kim
11PI2600, Development of Immersive SmartWork Tech. for Collaboration, Soon Seok Lee
- 본 이전기술은 분실 및 도난의 가능성이 높은 모바일 단말 환경에서 가상화 기반의 도메인 분리 실행 기술을 이용하여 기업 정보를 보호하고 불법 사용자의 접근을 차단하여 스마트워크 서비스의 안전성을 보장하기 위한 기술임.
- 본 기술은 크게 안드로이드 OS와 같은 범용 OS 환경인 일반도메인에서 사용자에게 공개되는 보안 API와 보안 API가 구현된 안전도메인에서의 보안서비스 추상화로 구성된 "보안 API 및 보안서비스 추상화 기술"과, 일반도메인과 분리된 안전도메인에서 운영되는 "가상화 기반 안전실행엔진 기술"로 나누어지며, 스마트단말의 실행환경을 분리하여 보안 기술을 적용하기 위해 필요한 핵심 보안 기능을 제공함.
- 세계적 뿐만 아니라 국내에서도 스마트폰 이용자가 빠른 증가세를 보이고 있고,
스마트폰에 기반을 둔 다양한 서비스의 보급으로 인해 모바일 데이터의 사용량이
급격하게 확대되고 있으며, 이에 따라 스마트폰 내에 많은 데이터를 손쉽게 저장할
수 있게 됨에 따라 이들 데이터를 보호할 수 있는 진보된 기술이 필요함
- 기존에는 모바일 단말의 중요한 데이터를 보호하기 위해 모바일 백신, 원격제어와
관련된 기술이 있으나, 이들 기술은 루팅 등을 통한 악의적인 공격으로부터 중요한
데이터를 보호하기 위해서는 다소 부족한 면이 있음
- 또한 개방형 OS 기반의 스마트워크 단말기 보급 확산과 자유로운 앱 생태계로 인
하여 보안 위협이 증가하고 단말 분실 및 도난으로 인한 정보 유출 가능성이 매우
높음
- 따라서 서비스 지향적인 개방형 단말환경에서 “일반 도메인”과 “안전도메인”으로
실행환경을 분리하여, 이를 기반으로 안전도메인 내에 안전실행엔진 등의 보안기능
을 구축함으로써 불법사용자의 접근을 차단하고 서비스의 안전성을 보장하기 위한
단말 보안기능이 필요함
- ARM core기반의 하드웨어적인 실행환경 분리를 기반으로, 안전도메인 내에 보안
기능을 구축하는 외산 제품이 등장하고 있으나 국산 암호알고리즘 및 인증 알고리
즘이 내장되어 있지 않아 기존의 국내 보안 시스템과의 연동에 어려움이 있음
- 본 기술은 상기 문제점을 해결하기 위하여 안전 도메인 내의 안전실행엔진에 다
양한 국산 암호알고리즘 및 인증알고리즘 기능을 추가함으로써 국내의 보안 시스템
과의 연동에도 전혀 문제가 없도록 하였음
.
가. 기술이전의 내용
- 본 기술이전은 가상화 기반의 도메인 분리 기술을 이용하여 실행환경의 폐쇄성 여
부에 따라 “일반도메인”과 “안전도메인”으로 분리하고 보안이 요구되는 기능들을 안
전도메인 내부에서 독립적으로 실행시키는 안전실행엔진 구현 기술임.
- 본 기술은 크게 안드로이드 OS와 같은 범용 OS 환경인 일반도메인에서 사용자에
게 공개되는 보안 API와 보안 API가 구현된 안전도메인에서의 보안서비스 추상화로
구성된 “보안 API 및 보안서비스 추상화 기술”과, 일반도메인과 분리된 안전도메인
에서 운영되는 “가상화 기반 안전실행엔진 기술”로 나누어짐.
- 본 기술의 세부 구성은 그림 2와 같음. 즉, 본 기술은 “일반도메인” 내에서 서비스
(앱)가 “안전도메인” 보안 기능을 위해 제공되는 “보안 API 및 보안서비스 추상화
기술”과 “안전도메인”내에서 단말장치가 필요로 하는 다양한 보안기능을 제공하는
“가상화 기반 안전실행엔진 기술”로 구성됨.
A. 기술명 : 보안 API 및 보안서비스 추상화 기술
일반도메인에서의 “보안 API 및 보안서비스 추상화 기술”은 일반도메인의 보안서비
스(앱)가 분리된 안전실행엔진의 보안 기능을 사용할 수 있도록 개발자에게 제공된
API와 일반도메인에서 제공된 API의 실제 구현을 제공하는 안전도메인에서의 보안
서비스 추상화 라이브러리로 구성됨. 그리고 일반도메인에서 호출된 보안 API 내용
을 분리된 안전도메인에 전달하고 수행된 결과를 보안서비스(앱)에게 전달하는 메
시지를 관리하는 기능을 포함하고 있으며, 상세한 내용은 다음과 같음.
?안전실행엔진용 일반도메인 보안 API 주요 기능
→ 사용자 인증용 RSA 서명 생성 및 검증용 IF
→ G-PKI 연동용 KCDSA 서명 생성 및 검증용 IF
→ G-PKI 연동용 인증서 및 개인키 관리용 IF
→ 안전저장을 위한 File I/O IF
→ 안전도메인 채널 및 세션 생성 IF
?보안서비스 추상화 기능
→ 사용자 인증용 RSA 서명 생성 및 검증 구현
→ G-PKI 연동용 KCDSA 서명 생성 및 검증 구현
→ G-PKI 연동용 인증서 및 개인키 관리 구현
→ 안전저장을 위한 File I/O 구현
→ 안전도메인 채널 및 세션 생성 구현
?일반도메인 영역 메시지 관리 기술
→ 멀티 채널 지원 메시지 통신 구조 제공
→ 인증 세션 관리
B. 기술명 : 가상화 기반 안전실행엔진 기술
안전도메인에서 운영되는 “가상화 기반 안전실행엔진 기술”은 보안서비스 프리미티
브 기능 즉, 인증 및 접근제어, 암호알고리즘, 안전저장 등의 기능으로 구성됨. 그리
고 일반도메인에서 전달된 보안 API에 해당하는 보안서비스 추상화 라이브러리를
호출할 수 있도록, 일반도메인에서 호출된 보안 API 메시지를 해석 및 관리하는 기
능을 포함하고 있으며, 상세한 내용은 다음과 같음.
?안전도메인 인증(Admission)/접근제어(Access Control) 기능
→ 사용자 패스워드 보호가 가능한 인증 및 접근제어 기능
?암호 알고리즘
→ 대칭키 암호 : AES, SEED, ARIA (모드 : ECB/CBC/CTR/CFB/OFB)
→ 공개키암호 : RSA-1024, RSA-2048
→ 해쉬함수 : SHA1, SHA224, SHA256
?안전한 저장관리(Secure Storage) 기능
→ 중요 데이터의 안전한(암호화) 저장/관리 기능
?안전도메인 영역 메시지 관리 기술
→ 멀티 채널 지원 메시지 통신 구조 제공
→ 인증 세션 관리
나. 기술이전의 범위
A. 기술명 : 보안 API 및 보안서비스 추상화 기술
- 시스템설계서 중 해당 기술 부분
- 보안서비스 및 API 블록 상위 설계서
- 보안서비스 및 API source code
- 시스템 시험계획서 중 해당 기술 부분
- 시스템 시험절차서 중 해당 기술 부분
- 시스템 시험결과서 중 해당 기술 부분
B. 기술명 : 가상화 기반 안전실행엔진 및 보안서비스 추상화 기술
- 시스템설계서 중 해당 기술 부분
- 안전실행엔진 블록 설계서
- 보안엔진 프로그램 source code 중 해당 기술 부분
- 시스템 시험계획서 중 해당 기술 부분
- 시스템 시험절차서 중 해당 기술 부분
- 시스템 시험결과서 중 해당 기술 부분
- 본 기술은 휴대 단말 및 이동 환경에서 높은 보안성을 요구하는 보안 강화형 특수
단말에 활용될 수 있음
- 또한 전자지불, 인터넷뱅킹 등의 안전지불/결제용 모바일 금융서비스 등에도 활용
될 수 있음
- 모바일 단말을 이용한 스마트워크와 같은 업무 환경에서, 기업 정보 유출 및 비인
가된 사용자의 불법 접근을 방지하고, 기업 클라우드 서비스의 안전성을 보장하는
용도로 활용 가능함
- 또한 행정민원서비스, 현장지원서비스 등의 모바일 전자정부에 사용될 단말의 보
안 강화를 높이는 기술로 활용될 것으로 기대됨